Zum Hauptinhalt springen
W
Sicherheit 12 Min Lesezeit

WordPress gehackt — Notfall-Anleitung zur Wiederherstellung

Ihre WordPress-Seite wurde gehackt? Diese Notfall-Anleitung zeigt Ihnen Schritt für Schritt, wie Sie den Hack erkennen, bereinigen und Ihre Website absichern.

Anzeichen: Wurde Ihre WordPress-Seite gehackt?

Bevor Sie handeln, prüfen Sie, ob Ihre Seite tatsächlich gehackt wurde. Typische Anzeichen:

  • Google-Warnung: „Diese Website kann Ihren Computer beschädigen” in den Suchergebnissen
  • Redirect: Besucher werden auf fremde Seiten weitergeleitet (oft Spam, Casino, Pharma)
  • Unbekannte Dateien: Neue PHP-Dateien im Root-Verzeichnis oder in /wp-content/uploads/
  • Unbekannte Admin-Benutzer: Neue Administratoren im Backend, die Sie nicht angelegt haben
  • SEO-Spam: Japanische/chinesische Zeichen in den Suchergebnissen Ihrer Domain
  • E-Mail-Blacklist: Ihre Domain wurde von E-Mail-Providern gesperrt
  • Hosting-Sperrung: Ihr Hoster hat die Seite wegen Malware deaktiviert

Sofort-Maßnahmen (erste 30 Minuten)

1. Ruhe bewahren und dokumentieren

Machen Sie Screenshots von allen Auffälligkeiten. Notieren Sie, wann der Hack bemerkt wurde und welche Symptome auftreten.

2. Website offline nehmen

Erstellen Sie eine Wartungsseite, um Besucher zu schützen. Per .htaccess:

RewriteEngine On
RewriteCond %{REQUEST_URI} !^/wartung\.html$
RewriteRule ^(.*)$ /wartung.html [R=503,L]

3. Alle Passwörter ändern

Ändern Sie sofort:

  • WordPress Admin-Passwörter (alle Benutzer)
  • FTP/SFTP-Passwörter
  • Datenbank-Passwort (danach in wp-config.php aktualisieren)
  • Hosting-Panel-Passwort
  • E-Mail-Passwörter

4. Backup erstellen

Erstellen Sie ein Backup des aktuellen (gehackten) Zustands. Sie brauchen es möglicherweise zur Analyse. Aber stellen Sie es nicht wieder her — es enthält die Malware.

Bereinigung Schritt für Schritt

Schritt 1: Sicherheitsschlüssel erneuern

In der wp-config.php stehen Authentifizierungsschlüssel. Ersetzen Sie alle durch neue. Generieren Sie neue Schlüssel unter: api.wordpress.org/secret-key

Das loggt alle aktuell eingeloggten Benutzer (auch den Angreifer) sofort aus.

Schritt 2: WordPress Core neu installieren

Laden Sie eine frische WordPress-Version herunter und ersetzen Sie die Core-Dateien:

# Per SSH
wp core download --force --skip-content

Nicht ersetzen: /wp-content/ (enthält Ihre Inhalte) und wp-config.php.

Schritt 3: Alle Plugins löschen und neu installieren

Angreifer verstecken Backdoors oft in Plugin-Dateien.

  1. Löschen Sie den kompletten /wp-content/plugins/-Ordner
  2. Installieren Sie alle Plugins frisch aus dem WordPress-Repository
  3. Premium-Plugins: Frisch vom Anbieter herunterladen

Schritt 4: Theme prüfen oder ersetzen

Prüfen Sie jede Theme-Datei auf verdächtigen Code. Suchen Sie nach:

grep -r "eval(" /wp-content/themes/
grep -r "base64_decode" /wp-content/themes/
grep -r "shell_exec" /wp-content/themes/
grep -r "system(" /wp-content/themes/

Im Zweifelsfall: Theme frisch installieren.

Schritt 5: Upload-Verzeichnis bereinigen

In /wp-content/uploads/ sollten nur Bilder und Dokumente liegen — keine PHP-Dateien.

find /wp-content/uploads/ -name "*.php" -type f

Jede gefundene PHP-Datei ist verdächtig und sollte gelöscht werden.

Schritt 6: Datenbank prüfen

Angreifer können Schadcode in die Datenbank injizieren, besonders in:

  • wp_posts (versteckte iFrames/Scripts in Artikeln)
  • wp_options (Redirects, Admin-E-Mails)
  • wp_users (unbekannte Admin-Benutzer)
-- Unbekannte Admins finden
SELECT * FROM wp_users WHERE ID IN (
  SELECT user_id FROM wp_usermeta WHERE meta_key = 'wp_capabilities' AND meta_value LIKE '%administrator%'
);

Absicherung nach der Bereinigung

Firewall installieren

Installieren Sie Wordfence oder Sucuri als Web Application Firewall. Aktivieren Sie den Brute-Force-Schutz.

Dateiberechtigungen setzen

find . -type d -exec chmod 755 {} \;
find . -type f -exec chmod 644 {} \;
chmod 600 wp-config.php

Automatische Updates aktivieren

// In wp-config.php
define( 'WP_AUTO_UPDATE_CORE', true );

Login-Seite absichern

  • wp-login.php per .htaccess IP-beschränken
  • Zwei-Faktor-Authentifizierung (2FA) für alle Admins
  • Login-Versuche begrenzen

Regelmäßige Backups einrichten

Tägliche Backups auf einen externen Speicherort. Nicht nur auf dem gleichen Server — wenn der kompromittiert wird, sind die Backups auch betroffen.

Google-Warnung entfernen lassen

Wenn Google Ihre Seite als „gehackt” markiert hat:

  1. Bereinigung abschließen
  2. Google Search Console öffnen
  3. Unter Sicherheitsprobleme → „Überprüfung beantragen”
  4. Google prüft innerhalb von 24-72 Stunden

Wann Sie professionelle Hilfe brauchen

Eine gehackte WordPress-Seite gründlich zu bereinigen erfordert Erfahrung. Typische Fehler von Laien:

  • Backdoors übersehen (der Angreifer kommt in 48h zurück)
  • Nur Symptome behandelt, nicht die Ursache
  • Backup wiederhergestellt, das bereits infiziert war

Unsere Notfall-Hilfe: Hack-Bereinigung in unter 4 Stunden — Festpreis ab 249 €. Inklusive Sicherheits-Audit und 30 Tage Monitoring.

WordPress Sicherheit Hack Malware Notfall
Risikolos starten

Bereit, Ihre Website zu reparieren?

Kostenlose Erstanalyse · Festpreis-Angebot in 24h · 100% Erfolgsgarantie

Kostenlose Analyse anfragen Direkt anrufen
Keine Vorauszahlung
Festpreis-Garantie
DSGVO-konform
Kostenlose Analyse